Как безопасно передавать конфиденциальную информацию в AWS Step Functions

Использование AWS Step Functions для объединения лямбда-выражений интересно, но есть ли способ отключить / скрыть ведение журнала на экране сведений о выполнении? секретная информация, отображаемая в виде открытого текста Передача частной информации от одной лямбда-выражения к другой должна выполняться в секрете, а добавление шифрования / дешифрования KMS на каждом этапе требует огромных накладных расходов, и невозможно для лямбда-выражений, находящихся в VPC без доступа в Интернет.


amazon-web-services aws-lambda aws-step-functions
person Bronanaza    schedule 20.09.2017    source источник

Ответы (2)


arrow_upward
8
arrow_downward

Мы поговорили с Amazon, и похоже, что скрыть эту информацию с консоли невозможно. Альтернативой является ограничение того, что отправляется лямбда-функциям на каждом этапе.

Таким образом, вы можете гарантировать, что определенные функции будут видеть только подмножества входных данных, не относящиеся к PII. Обычный обходной путь заключается в том, чтобы вообще не передавать данные PII, а вместо этого поместить данные PII в зашифрованные хранилища данных, такие как корзина S3 или зашифрованная таблица базы данных RDS, и передать ссылку на этот объект через конечный автомат.

person Kamal    schedule 20.09.2017
comment
летняя грусть: это похоже на настоящую оплошность с их стороны. пошаговые функции потенциально могут быть конвейером unix, но для сетевых приложений. Ах хорошо. - person Bronanaza; 22.09.2017
comment
Привет @Kamal, есть новости по этому поводу? Я оцениваю пошаговые функции и так же беспокоюсь о безопасности данных, выполняемых на каждом этапе. Пока я не могу найти никакой информации, исправил ли Amazon это или нет. Печально, что упускают такую ​​важную вещь. - person Yaiba; 16.04.2018
comment
@Yaiba. Не так много обновлений, но все же у нас есть доступ к IAM и уровню обслуживания, чтобы избежать несанкционированного доступа :) - person Kamal; 17.04.2018

arrow_upward
3
arrow_downward

Другой вариант - использовать хранилище параметров SSM с типом SecureString с использованием шифрования KMS. Вы должны передавать имя параметра SSM между шагами. Лямбда-функции будут использовать API для получения и дешифрования значения в одном запросе. См. Ссылку ниже для документации о том, как работать с хранилищем параметров SSM с помощью boto3 в Python.

http://boto3.readthedocs.io/en/latest/reference/services/ssm.html#SSM.Client.get_parameter.

Вам нужно будет убедиться, что роли ваших лямбда-функций предоставляют доступ к параметрам SSM И доступ к тому же ключу KMS, который использовался для шифрования значения.

person Nathan Phetteplace    schedule 27.02.2018